Úroveň znalostí bezpečnostních rolí podle zákona o kybernetické bezpečnosti ·...
TRANSCRIPT
![Page 1: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/1.jpg)
D Ů V Ě Ř U J T E S I L N Ý M
Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti
Michal Zedníček
Security consultant
ALEF NULA, a.s.
![Page 2: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/2.jpg)
› ZKB
– Prevence před možnými incidenty• Organizační opatření
• Technická opatření
– Vyřešení následků možných incidentů• Řešení KBI
ZKB
![Page 3: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/3.jpg)
› Podle ZKB patří regulace chování lidí mezi Organizační opatření
› Regulace vzdělání o informační bezpečnosti aptřímezi nejvýraznější regulace
– Můžeme mít výborné procesy
– Můžeme mít výborné technické nástroje
– Procesy a technologie nepomáhají, když se lidé procesy neřídí a nezvládají práci s technickými nástroji
Lidské zdroje
![Page 4: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/4.jpg)
› Chování lidí se odvíjí od vzdělání a přirozené inteligence
– S přirozenou inteligencí musíme pracovat
– Vzdělání můžeme/musíme ovlivnit
Lidské zdroje
![Page 5: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/5.jpg)
› Musíme určit, kdo potřebuje vzdělávat
› Musíme určit, jak se bude kdo vzdělávat
=
› Musíme zavést podle ZKB „Plán rozvoje bezpečnostního povědomí“
Vzdělání
![Page 6: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/6.jpg)
› Plán rozvoje bezpečnostního povědomí (§9 Vyhlášky o kybernetické bezpečnosti):
– Forma, obsah a rozsah potřebných školení všech rolí
– Poučení všech rolí formou vstupních a pravidelnýchškolení
– Vede přehledy školení
– KII hodnotí účinnost plánu rozvoje bezpečnostního povědomí
Vzdělání
![Page 7: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/7.jpg)
› ZKB neřeší dlouhodobé vzdělávání
– Je práce univerzit a podobných intitucí
– Cílem takové instituce je na trh práce dovést člověka s velmi kvalitním vědomostním zázemím a velkým přesahem znalostí z různých oborů
› ZKB řeší krátkodobé vzdělávání
– Odpovědnost standardně na správcích KII/VIS
– Rychlé, efektivní proškolení všech rolí
– U některých rolí velká míra specializace docílená intensivní formou vzdělávání
Vzdělání
![Page 8: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/8.jpg)
› Jaké jsou role podle ZKB?
– Manažer Kybernetické bezpečnosti
– Architekt kybernetické bezpečnosti
– Auditor kybernetické bezpečnosti
– Garant aktiva
– Administrátor
– Uživatel
– Dodavatel
Vzdělání
![Page 9: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/9.jpg)
› Manažer kybernetické bezpečnosti potřebuje
– Znalost ZKB• 1denní kurz „Zákon o kybernetické bezpečnosti“
• Cíl: Seznámení s požadavky zákona č. 181/2014 Sb., včetně vyhlášek
– Odbornou znalost postupů při řízení informační bezpečnosti• 2denní kurz „Manažer kybernetické bezpečnosti“
• Cíl: Seznámení s podstatou bezpečnostních opatření a efektivními přístupy k jejich zajištění
Vzdělání
![Page 10: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/10.jpg)
› Architekt kybernetické bezpečnosti potřebuje– Znalost ZKB
• 1denní kurz „Zákon o kybernetické bezpečnosti“
• Cíl: Seznámení s požadavky zákona č. 181/2014 Sb., včetně vyhlášek
– Odbornou znalost postupů při řízení informační bezpečnosti• 2denní kurz „Manažer kybernetické bezpečnosti“
• Cíl: Seznámení s podstatou bezpečnostních opatření a efektivními přístupy k jejich zajištění
– Obrovské množství technických znalostí• 5denní kurz „Architekt kybernetické bezpečnosti“
• Cíl: Seznámení s bezpečnostními oblastmi technických opatření a efektivními přístupy k jejich zajištění
Vzdělání
![Page 11: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/11.jpg)
› Auditor kybernetické bezpečnosti potřebuje
– Znalost ZKB• 1denní kurz „Zákon o kybernetické bezpečnosti“
• Cíl: Seznámení s požadavky zákona č. 181/2014 Sb., včetně vyhlášek
– Auditorský certifikát• 5denní kurz „Auditor kybernetické bezpečnosti“ s testem
• Cíl: Připravit účastníky na efektivní provádění auditů kybernetické bezpečnosti na úrovni certifikačních auditorů pro normu ISO/IEC 27001:2013
Vzdělání
![Page 12: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/12.jpg)
› Garant aktiva potřebuje:
– Znalost ZKB• 1denní kurz „Zákon o kybernetické bezpečnosti“
• Cíl: Seznámení s požadavky zákona č. 181/2014 Sb., včetně vyhlášek
– Znalost svěřeného aktiva• Běžný technický kurz u důvěryhodných lektorů
Vzdělání
![Page 13: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/13.jpg)
› Administrátor potřebuje:
– Znalost svěřeného technického aktiva• Běžné technické kurzy u důvěryhodných lektorů
Vzdělání
![Page 14: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/14.jpg)
› Uživatel potřebuje:
– Obecné bezpečnostní povědomí• 60 min. eLearning kurz s testem
Vzdělání
![Page 15: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/15.jpg)
› Dodavatel potřebuje:
– Seznámení s řízením informační bezpečnosti správce KII/VIS, aby nenarušoval informační bezpečnost• Předávání informací na míru podle požadavků správce KII/VIS
Vzdělání
![Page 16: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/16.jpg)
› NBÚ nestanovil certifikační program
› NBÚ spoléhá na správce KII/VIS
– Riziko slabých rolí
– Nekontrolovaná úroveň vzdělání lidských zdrojů v oblasti informační bezpečnosti
Certifikace
![Page 17: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/17.jpg)
› Bezpečnostní incidenty z poslední doby (např. „Česká pošta“ malware) v celé řadě organizací prověřily stav bezpečnostního povědomí –bohužel ostrým testem.
Úroveň vzdělání
![Page 18: Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti · 2014-11-26 · › Architekt kybernetické bezpečnosti potřebuje –Znalost ZKB •1denní](https://reader033.vdocuments.pub/reader033/viewer/2022050307/5f6fa2aac11f5e75162874db/html5/thumbnails/18.jpg)
› Správce KII/VIS
– Je podle ZKB odpovědný, že nebude docházet ke KBI
– Je podle ZKB odpovědný za vzdělání zaměstnanců
Úroveň vzdělání